Sicollab | Services informatiques pour PME
Cybersécurité

MFA PME : activer l'authentification multi-facteurs

MFA pour PME : 5 methodes, plan de deploiement en 4 semaines, erreurs a eviter. L'authentification multi-facteurs bloque 99,9 % des attaques par mot de passe.

7 min de lecture

Qu'est-ce que le MFA ?

Le MFA (Multi-Factor Authentication) ajoute une verification supplementaire apres le mot de passe. Au lieu de se connecter avec un seul facteur (ce que vous savez), le MFA exige un second facteur : ce que vous avez (telephone, cle physique) ou ce que vous etes (empreinte, visage).

Un attaquant qui vole ou devine votre mot de passe ne peut pas se connecter sans ce second facteur. Microsoft a mesure que le MFA bloque 99,9 % des attaques automatisees par credential stuffing. C'est la mesure de securite au meilleur ratio cout-efficacite pour une PME.

Pourquoi chaque PME doit activer le MFA

80 % des violations de donnees impliquent des identifiants compromis (Verizon DBIR 2024). Le mot de passe seul ne protege plus : les collaborateurs reutilisent leurs mots de passe, les bases de donnees volees circulent sur le dark web, et les attaques par phishing se perfectionnent. Sans MFA, un seul mot de passe vole donne acces a la messagerie, aux fichiers partages, au CRM, au VPN.

Le MFA est aussi une exigence croissante : la directive NIS2 impose des mesures d'authentification forte, et les cyberassurances exigent le MFA comme prerequis a la souscription. Consultez notre guide phishing PME pour comprendre comment le MFA s'integre dans une strategie de protection email.

5 methodes MFA pour PME

01

Application d'authentification (TOTP)

Microsoft Authenticator, Google Authenticator ou Authy generent un code a 6 chiffres qui change toutes les 30 secondes. Methode recommandee pour les PME : gratuite, simple, compatible avec la quasi-totalite des services. Pas de dependance au reseau mobile.

02

Notification push

L'utilisateur recoit une notification sur son telephone et approuve la connexion en un tap. Microsoft Authenticator propose cette option pour les comptes Microsoft 365. Plus rapide que le code TOTP, moins sujette aux erreurs de saisie.

03

Cle de securite physique (FIDO2)

Une cle USB (YubiKey, Feitian) que l'utilisateur branche sur son poste. Methode la plus resistante au phishing : aucun code a saisir, aucune notification a intercepter. Cout : 25 a 60 euros par cle. Adaptee aux comptes administrateurs et aux profils a haut risque.

04

SMS ou appel vocal

Un code envoye par SMS ou dicte par appel. Methode la moins securisee : vulnerable au SIM swap et a l'interception. A utiliser en dernier recours, pour les collaborateurs qui refusent les autres methodes. Microsoft et le NIST la deconseillent comme facteur principal.

05

Biometrie (Windows Hello)

Empreinte digitale ou reconnaissance faciale via Windows Hello for Business. Le facteur biometrique ne quitte pas le poste : il n'est pas stocke dans le cloud. Necessitee un capteur compatible sur le poste. Combine confort d'usage et securite.

Plan de deploiement en 4 semaines

Semaine 1

Audit et preparation

  • Inventaire des comptes et services critiques (messagerie, VPN, ERP, CRM)
  • Choix de la methode MFA par profil utilisateur
  • Communication interne : expliquer le pourquoi aux equipes
  • Achat des licences ou cles physiques si necessaire

Semaine 2

Deploiement pilote

  • Activer le MFA sur les comptes administrateurs et la direction
  • Tester les procedures de secours (code de recuperation, cle de backup)
  • Documenter les etapes pour le support utilisateur
  • Corriger les problemes rencontres

Semaine 3

Deploiement general

  • Activer le MFA pour tous les collaborateurs par groupes de 10
  • Accompagner les utilisateurs dans l'installation de l'application
  • Verifier que chaque utilisateur a configure au moins deux methodes
  • Tester l'acces aux applications critiques avec le MFA actif

Semaine 4

Validation et durcissement

  • Bloquer les connexions sans MFA (fin de la periode de grace)
  • Configurer les acces conditionnels (bloquer les pays non autorises)
  • Former le helpdesk aux procedures de reinitialisation MFA
  • Documenter la politique MFA dans la charte informatique

Erreurs frequentes a eviter

Activer le MFA sans former les equipes. Les collaborateurs doivent savoir installer l'application, generer leurs codes de recuperation et reagir en cas de perte de telephone. Sans formation, le helpdesk est submerge d'appels le premier jour.

Utiliser le SMS comme seul facteur. Le SMS est vulnerable au SIM swap. Privilegiez l'application d'authentification ou la cle FIDO2. Le SMS reste acceptable en dernier recours pour les collaborateurs qui refusent les autres methodes.

Oublier les comptes de service. Les comptes techniques (sauvegarde, monitoring, API) doivent aussi etre proteges. Un compte de service compromis donne un acces permanent et silencieux au SI.

Questions frequentes

Le MFA bloque-t-il 99,9 % des attaques ?

Microsoft a mesure que le MFA bloque 99,9 % des attaques automatisees par compromission de mot de passe (credential stuffing, password spraying). Il ne protege pas contre toutes les formes de phishing avance, mais reduit le risque de facon decisive.

Que faire si un collaborateur perd son telephone ?

Deux solutions : un code de recuperation genere a l'activation (a conserver dans un coffre), ou une cle FIDO2 de secours. Le helpdesk peut aussi reinitialiser le MFA via la console admin Microsoft 365. Prevoyez cette procedure avant le deploiement.

Le MFA ralentit-il le travail au quotidien ?

L'ajout prend 5 a 10 secondes par connexion. Avec les sessions persistantes (rester connecte 30 jours sur un appareil de confiance), la demande MFA n'apparait qu'a la premiere connexion ou en cas de changement de contexte (nouvel appareil, nouveau lieu).

Faut-il activer le MFA sur tous les comptes ?

Oui, sans exception. Les comptes administrateurs en priorite, puis les comptes avec acces aux donnees sensibles, puis tous les autres. Un seul compte sans MFA suffit a compromettre l'ensemble du SI.

Quel est le cout du MFA pour une PME ?

Le MFA via Microsoft Authenticator est gratuit pour les comptes Microsoft 365. Les cles FIDO2 coutent 25 a 60 euros l'unite. Le cout principal est le temps de deploiement et de formation : 2 a 4 jours de prestataire pour une PME de 30 postes.

Quentin Beauger

Article rédigé par Quentin Beauger, fondateur de Sicollab et DSI pour PME en Auvergne.

Activez le MFA sur votre SI

Diagnostic gratuit de 30 minutes. On verifie votre couverture MFA et on vous accompagne dans le deploiement.

Planifier un diagnostic gratuit
Lire nos autres articles